• BPnet
  • ビジネス
  • PC
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
家電・モバイル ボリュームゾーンの最新動向を知る
 

第1回:ファジングで効率よく脆弱性を検出するためのポイント

澤田 迅=情報処理推進機構(IPA)
2013/07/25 00:00
1/2ページ

 近年、パソコン以外の製品のソフトウエアに「脆弱性」と呼ばれるセキュリティー上の問題が見つかる事例が増えている。この脆弱性が悪用されると最悪の場合、のようなデータの破壊や情報漏えい、遠隔操作といった被害につながる可能性がある(図1)。製品の利用者が被害に遭ってしまわないように、出荷の前段階で製品に残る脆弱性の数を低減させてセキュリティー上の品質を高める必要がある。また、製品出荷後に脆弱性が見つかった場合には、製品出荷前に対策するよりもコストがかかり対策が困難になる場合もある。このため、できる限り製品出荷前に脆弱性を検出し、対策を施す必要がある。この脆弱性の検出に焦点をあてたテストをセキュリティー・テストという。その手法の一つに「ファジング」がある。

図1 脆弱性の悪用

あり得ない入力値を代入して脆弱性を探す

  ファジングとは、簡単に言えば対象機器が持つソフトウエア・インタフェースの「入力値」に注目するセキュリティー・テストである(図2)。このため、入力を受け付ける機能を持つものであれば、汎用OS上で動作するアプリケーション・ソフトウエア(アプリ)からOSとアプリが混然一体となった組み込み機器に至るまで、様々なものに幅広く適用できるセキュリティー・テストである。

図2 ファジングの概要
[画像のクリックで拡大表示]

 ファジングは仕様書通りに動作しているかを確認するようなテストでは検出が困難な「脆弱性」を検出できる。例えば、英語のアルファベットの入力だけを想定しているソフトウエアに対して、次々にあらゆる文字コードが混じったデータを入力すれば、英語のアルファベットの入力では確認しえなかった脆弱性(例:書式文字列の問題、http://jvndb.jvn.jp/ja/cwe/CWE-134.htmlなど)を検出できる可能性があるといった具合だ。

 ではファジングはどのように実施するのか。ファジングは大量のデータを送り込むテストのため、手動で実施するには限界がある。このためファジングは「ファジング・ツール」と呼ばれる専用のツールを用いて実施するのが一般的である。ファジング・ツールを使ったテストは、ツールによって自動化されているものが多い。

 また、ファジング・ツールは商用製品をはじめ、オープンソース・ソフトウエアやフリー・ソフトウエアのツールが数多く存在している。

【技術者塾】(2/23開催)
シグナル/パワーインテグリティーとEMC

〜高周波・低電圧設計に向けたノイズの課題と対策〜


本講座では、設計事例を基に、ノイズ対策がなぜ必要なのかを分かりやすく解説します。その上で、シグナルインテグリティー(SI)、パワーインテグリティー(PI)、EMCの基礎知識ならびにそれらがノイズ課題の解決にどのように関係しているかを、これまでの知見や経験に基づいた具体例を踏まえつつ解説を行います。 詳細は、こちら
日程 : 2016年2月23日
会場 : 化学会館
主催 : 日経エレクトロニクス
印刷用ページ
コメントする
コメントに関する諸注意(必ずお読みください)
※コメントの掲載は編集部がマニュアルで行っておりますので、即時には反映されません。

マイページ

マイページのご利用には日経テクノロジーオンラインの会員登録が必要です。

マイページでは記事のクリッピング(ブックマーク)、登録したキーワードを含む新着記事の表示(Myキーワード)、登録した連載の新着記事表示(連載ウォッチ)が利用できます。

協力メディア&
関連サイト

  • 日経エレクトロニクス
  • 日経ものづくり
  • 日経Automotive
  • 日経デジタルヘルス
  • メガソーラービジネス
  • 明日をつむぐテクノロジー
  • 新・公民連携最前線
  • 技術者塾
  • スポーツイノベイターズオンライン

Follow Us

  • Facebook
  • Twitter
  • RSS

お薦めトピック

日経テクノロジーオンラインSpecial

記事ランキング